AI照護之資料法制研析
撰成日期:111年1月
更新日期:111年1月13日
資料類別:議題研析
作者:方華香
編號:R01570
一、 題目:AI照護之資料法制研析
二、 所涉法規
個人資料保護法、長期照顧服務法
三、 探討研析
(一) 因應高齡化及科技化時代,人工智慧(AI)運用於照護醫療,已成趨勢。透過大數據資料之蒐集整理及運用,例如:被照護者之醫療史、基因檢測、健康檢查資料、用藥種類、時間、方式、份量等,從診斷、追蹤、風險預測、個人化治療甚至生物資料庫之建立與分析,有助於提升醫療照護之質量,AI儼然成為醫療照護產業之核心技術。但因分別涉及醫院(資料端)、醫師(臨床端)、醫療照護產業(產業端)、政府(管制端)之資料運用,其法制建構與應用亟待研究。
(二) 鑑於醫療資料之高度機敏性,我國個人資料保護法(下稱個資法)第6條第1項明定,原則上禁止蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查等之特種個人資料。僅在法定情形,例如法律明文規定、當事人書面同意或公務機關或學術研究機構基於醫療、衛生之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人等情況下,例外允許之。
(三) AI貴在大量資料之蒐集與整合運用,在上開「當事人知情同意原則」、「目的拘束原則」等個資法之基本架構下,恐難以取得平衡,而無法有效將資料價值開發最大化。尤其醫療照護器材業者,並非醫療院所、政府機關或學術研究機構,係以營利為目的,要開發AI技術,蒐集巨量特種資料,現行法制下似乎只能透過法律明文規定或當事人書面同意之途徑。
四、 建議事項
(一) 立法放寬運用匿名化資料,鼓勵AI發展
按適用個資法之資料須係得直接或間接識別(具識別性)個人者(個資法第2條規定參照),但縱為匿名化,也可能隨著資料量及演算法之發展,使資料間之聚合或連結變得容易而重新獲得識別性,是否去識別化而完全無個資法之適用?認定上變得浮動而不確定。
日本2015年修正個人資料保護法已新增「匿名加工資訊」相關規定,容許個資處理事業得將匿名加工資訊用於其他目的或提供予第三方,不受第16條第1項及第23條第1項規定,須得資料當事人同意之限制。根據日本個資保護委員會網站指出,此種匿名加工資訊,即可用於醫院提供醫療資料給業者以發展醫療技術或AI活用創新,但同時課予個資處理事業下列義務:資訊安全維護義務、資訊揭露義務、禁止再識別義務等,以資配套。
惟與其關注資料當事人之事前同意與否或「識別性」之有無,毋寧放在業者必須採取技術上或組織上措施避免資料之再識別化之潛在風險。亦即,立法明文放寬匿名化資料之運用,再輔以明定業者應負擔相關義務,以鼓勵AI發展,係屬可考慮方向。
(二) 照護服務等領域之個資處理宜有全面規範
我國現行法制,例如:長期照顧服務法第43條,雖係有關照護服務領域之個人資料處理之特別規定,但規範重點僅在於服務使用者之書面同意及其例外或替代方式,且僅限於長照服務領域。
觀諸歐盟GDPR(General Data Protection Regulation)第9條規定,原則禁止基因資料、生物特徵識別資料、與健康相關等特種個人資料之處理;但歐盟法或會員國法律若有規定,為預防或職業醫學目的、醫療診斷、為提供健康、社會照護、治療或社會照護系統及服務而有必要,負有職業秘密義務之專業人員得以處理健康醫療等機敏資料。
上述歐盟法制規範密度甚廣,包含GDPR及歐盟或各會員國有關醫學、照護、健康管理等各相關領域之法律,全面建構照護醫學或服務領域之個人資料處理事宜。我國此類型之個資規範顯得零星且局部,法制密度及廣度不足,爰建議照護醫學或服務等領域之個資處理宜有特別法之全面規範。
撰稿人:方華香
二、 所涉法規
個人資料保護法、長期照顧服務法
三、 探討研析
(一) 因應高齡化及科技化時代,人工智慧(AI)運用於照護醫療,已成趨勢。透過大數據資料之蒐集整理及運用,例如:被照護者之醫療史、基因檢測、健康檢查資料、用藥種類、時間、方式、份量等,從診斷、追蹤、風險預測、個人化治療甚至生物資料庫之建立與分析,有助於提升醫療照護之質量,AI儼然成為醫療照護產業之核心技術。但因分別涉及醫院(資料端)、醫師(臨床端)、醫療照護產業(產業端)、政府(管制端)之資料運用,其法制建構與應用亟待研究。
(二) 鑑於醫療資料之高度機敏性,我國個人資料保護法(下稱個資法)第6條第1項明定,原則上禁止蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查等之特種個人資料。僅在法定情形,例如法律明文規定、當事人書面同意或公務機關或學術研究機構基於醫療、衛生之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人等情況下,例外允許之。
(三) AI貴在大量資料之蒐集與整合運用,在上開「當事人知情同意原則」、「目的拘束原則」等個資法之基本架構下,恐難以取得平衡,而無法有效將資料價值開發最大化。尤其醫療照護器材業者,並非醫療院所、政府機關或學術研究機構,係以營利為目的,要開發AI技術,蒐集巨量特種資料,現行法制下似乎只能透過法律明文規定或當事人書面同意之途徑。
四、 建議事項
(一) 立法放寬運用匿名化資料,鼓勵AI發展
按適用個資法之資料須係得直接或間接識別(具識別性)個人者(個資法第2條規定參照),但縱為匿名化,也可能隨著資料量及演算法之發展,使資料間之聚合或連結變得容易而重新獲得識別性,是否去識別化而完全無個資法之適用?認定上變得浮動而不確定。
日本2015年修正個人資料保護法已新增「匿名加工資訊」相關規定,容許個資處理事業得將匿名加工資訊用於其他目的或提供予第三方,不受第16條第1項及第23條第1項規定,須得資料當事人同意之限制。根據日本個資保護委員會網站指出,此種匿名加工資訊,即可用於醫院提供醫療資料給業者以發展醫療技術或AI活用創新,但同時課予個資處理事業下列義務:資訊安全維護義務、資訊揭露義務、禁止再識別義務等,以資配套。
惟與其關注資料當事人之事前同意與否或「識別性」之有無,毋寧放在業者必須採取技術上或組織上措施避免資料之再識別化之潛在風險。亦即,立法明文放寬匿名化資料之運用,再輔以明定業者應負擔相關義務,以鼓勵AI發展,係屬可考慮方向。
(二) 照護服務等領域之個資處理宜有全面規範
我國現行法制,例如:長期照顧服務法第43條,雖係有關照護服務領域之個人資料處理之特別規定,但規範重點僅在於服務使用者之書面同意及其例外或替代方式,且僅限於長照服務領域。
觀諸歐盟GDPR(General Data Protection Regulation)第9條規定,原則禁止基因資料、生物特徵識別資料、與健康相關等特種個人資料之處理;但歐盟法或會員國法律若有規定,為預防或職業醫學目的、醫療診斷、為提供健康、社會照護、治療或社會照護系統及服務而有必要,負有職業秘密義務之專業人員得以處理健康醫療等機敏資料。
上述歐盟法制規範密度甚廣,包含GDPR及歐盟或各會員國有關醫學、照護、健康管理等各相關領域之法律,全面建構照護醫學或服務領域之個人資料處理事宜。我國此類型之個資規範顯得零星且局部,法制密度及廣度不足,爰建議照護醫學或服務等領域之個資處理宜有特別法之全面規範。
撰稿人:方華香